Document juridique

Politique de confidentialité

1. Préambule

Tainosystems Canada Inc. (« Tainosystems », « nous », « notre ») accorde la plus grande importance à la protection des renseignements personnels. La présente politique décrit comment nous collectons, utilisons, conservons, protégeons et partageons vos renseignements personnels lorsque vous visitez notre site tainosystems.com, utilisez nos plateformes (AyidaHMS, Silabmed, Sysgestock, DriveCle, Reimbursia, TSMedicis, TainoPersonnel, Sedulr, et autres) ou interagissez avec nos équipes.

Cette politique respecte les exigences de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (Loi 25, en vigueur depuis septembre 2023), du Règlement Général sur la Protection des Données (RGPD, UE), de la Health Insurance Portability and Accountability Act (HIPAA, USA, pour le segment santé), et de la California Consumer Privacy Act (CCPA).

2. Responsable du traitement

Le responsable du traitement des renseignements personnels est :

• Tainosystems Canada Inc.
• 1555 Boulevard de l'Avenir, Laval, QC H7S 2N5, Canada
• Téléphone : +1-514-380-5826
• Courriel : privacy@tainosystems.com

Pour le territoire européen, notre représentant peut être contacté à eu-privacy@tainosystems.com.

3. Données personnelles collectées

3.1 Données que vous nous fournissez directement

• Identification : prénom, nom, fonction, organisation
• Contact : adresse courriel professionnelle, numéro de téléphone, pays
• Demandes : contenu de vos messages, formulaires de devis, demandes de démonstration
• Paiement : uniquement traité par Stripe (PCI-DSS Level 1). Nous ne stockons jamais vos données de carte bancaire.

3.2 Données collectées automatiquement

• Données techniques : adresse IP (anonymisée), type de navigateur, système d'exploitation, pages visitées, horodatage
• Cookies : voir section 6

3.3 Données sensibles (uniquement dans nos plateformes santé)

Dans le cadre de l'exploitation d'AyidaHMS, Silabmed, TSMedicis et Silabmed Immunisation, nous traitons des renseignements de santé en tant que sous-traitant (au sens de la Loi 25) ou business associate (au sens de HIPAA). Ces traitements sont régis par des contrats spécifiques (Business Associate Agreement / BAA) signés avec nos clients hospitaliers, laboratoires et assureurs.

4. Bases légales du traitement (RGPD)

Pour les visiteurs résidant dans l'Union européenne, nous traitons vos données sur les bases suivantes :

• Exécution d'un contrat : pour les clients ayant souscrit à nos services
• Intérêt légitime : pour répondre à vos demandes commerciales et améliorer nos services
• Consentement : pour les cookies non essentiels et les communications marketing
• Obligation légale : pour la facturation, la comptabilité, les obligations fiscales

5. Finalités du traitement

Vos données personnelles sont utilisées pour :

1. Répondre à vos demandes (devis, démonstrations, support, recrutement)
2. Exécuter nos contrats de services et facturer nos prestations
3. Améliorer la qualité et la sécurité de nos plateformes
4. Respecter nos obligations légales et réglementaires (audits, certifications TGV, HIPAA, etc.)
5. Vous informer de nos actualités (avec votre consentement explicite)
6. Prévenir la fraude et garantir la sécurité de nos systèmes

Nous ne vendons jamais vos données personnelles à des tiers.

6. Cookies et technologies similaires

Notre site utilise les cookies suivants :

• Cookies essentiels (toujours actifs) : préférence de langue (FR/EN/ES), session de navigation
• Cookies d'analyse (Cloudflare Web Analytics, sans cookies tiers) : statistiques anonymisées
• Cookies de paiement (Stripe, lors d'un achat) : nécessaires à la sécurité des transactions

Vous pouvez gérer vos préférences cookies via votre navigateur. Nous n'utilisons aucun cookie publicitaire ni cookie de profilage marketing.

7. Durée de conservation

• Données prospects (formulaires) : 3 ans à compter du dernier contact
• Données clients : durée du contrat + 10 ans (obligations comptables et fiscales canadiennes)
• Données de santé (sous-traitance) : selon les contrats BAA et les obligations légales du client responsable
• Données techniques (logs) : 12 mois maximum
• Données de paiement : conservées par Stripe selon ses propres durées (nous n'en avons pas la garde)

8. Destinataires des données

Vos données peuvent être communiquées à :

• Les employés Tainosystems habilités, dans nos 4 bureaux (Wilmington, Laval, Pétion-Ville, Pointe-Noire), sur la base du besoin d'en connaître
• Nos sous-traitants certifiés (hébergement Cloudflare, paiement Stripe, courrier Web3Forms), liés par des contrats stricts de confidentialité
• Les autorités compétentes uniquement sur réquisition légale

9. Transferts internationaux de données

Tainosystems opère sur 4 juridictions (Canada, États-Unis, Haïti, République du Congo). Selon votre localisation et le service utilisé, vos données peuvent être hébergées dans l'une de ces juridictions :

• Par défaut (clients québécois et Silabmed/AyidaHMS) : hébergement au Canada
• Clients US : hébergement aux USA, conformité HIPAA
• Clients caribéens et africains : hébergement régional selon souveraineté demandée

Tous les transferts hors UE sont encadrés par des Clauses Contractuelles Types approuvées par la Commission européenne. Le Canada bénéficie d'une décision d'adéquation de la Commission européenne.

10. Vos droits

Vous disposez des droits suivants sur vos données :

• Droit d'accès : obtenir une copie des données vous concernant
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données
• Droit à la limitation du traitement
• Droit à la portabilité : recevoir vos données dans un format structuré
• Droit d'opposition au traitement
• Droit de retirer votre consentement à tout moment
• Droit de définir des directives post-mortem (Loi 25 et RGPD)

Pour exercer ces droits, écrivez à privacy@tainosystems.com. Nous répondons sous 30 jours maximum. Une vérification d'identité pourra vous être demandée.

11. Sécurité des données

Nous appliquons des mesures de sécurité conformes aux exigences les plus élevées :

• Chiffrement AES-256 au repos, TLS 1.3 en transit
• Authentification multi-facteurs pour les accès administratifs
• Contrôle d'accès basé sur les rôles (RBAC)
• Audits indépendants annuels (COCD, Intellisec)
• Certification gouvernementale TGV (MSSS Québec) pour Silabmed
• Conformité HIPAA pour AyidaHMS et le segment santé US
• Plan de réponse aux incidents documenté et testé
• Sauvegardes vérifiées quotidiennement

En cas d'incident de sécurité affectant vos données, nous vous notifierons dans les 72 heures conformément aux exigences de la Loi 25 et du RGPD.

12. Protection des mineurs

Notre site et nos services sont destinés à un usage professionnel B2B. Nous ne collectons pas sciemment de données concernant des personnes de moins de 18 ans. Si vous pensez qu'une telle collecte a eu lieu, contactez-nous immédiatement.

13. Disposition spécifique HIPAA (santé)

Lorsque Tainosystems agit comme business associate au sens HIPAA (notamment pour AyidaHMS aux États-Unis), nous appliquons l'ensemble des exigences HIPAA Security Rule et HIPAA Privacy Rule :

• Signature obligatoire d'un Business Associate Agreement (BAA) avec chaque covered entity
• Notification de toute violation (breach) au plus tard 60 jours
• Contrôles d'accès strict et journalisation complète (audit logs)
• Politiques de chiffrement, sauvegarde et continuité conformes 45 CFR § 164.308-318

14. Modifications de la politique

Cette politique peut être mise à jour pour refléter des changements légaux ou opérationnels. La date de dernière mise à jour figure en début de document. En cas de modification substantielle, nous vous en informerons par courriel (clients existants) ou par bannière sur notre site (visiteurs).

15. Contact et plaintes

Pour toute question sur cette politique ou sur vos droits :

• Responsable protection des renseignements personnels : privacy@tainosystems.com
• Adresse postale : Tainosystems Canada Inc., 1555 Boulevard de l'Avenir, Laval, QC H7S 2N5

Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une plainte auprès de :

• Québec : Commission d'accès à l'information du Québec (CAI) — cai.gouv.qc.ca
• Canada : Commissariat à la protection de la vie privée du Canada — priv.gc.ca
• Union européenne : autorité de protection des données de votre pays de résidence
• États-Unis : Office for Civil Rights (HHS) pour les questions HIPAA

Legal document

Privacy Policy

1. Preamble

Tainosystems Canada Inc. ("Tainosystems", "we", "our") attaches the utmost importance to the protection of personal information. This policy describes how we collect, use, retain, protect and share your personal information when you visit our site tainosystems.com, use our platforms (AyidaHMS, Silabmed, Sysgestock, DriveCle, Reimbursia, TSMedicis, TainoPersonnel, Sedulr, and others) or interact with our teams.

This policy complies with the requirements of Quebec's Act respecting the protection of personal information in the private sector (Law 25, in force since September 2023), the General Data Protection Regulation (GDPR, EU), the Health Insurance Portability and Accountability Act (HIPAA, USA, for the healthcare segment), and the California Consumer Privacy Act (CCPA).

2. Data controller

The data controller is:

• Tainosystems Canada Inc.
• 1555 Boulevard de l'Avenir, Laval, QC H7S 2N5, Canada
• Phone: +1-514-380-5826
• Email: privacy@tainosystems.com

For European territory, our representative can be contacted at eu-privacy@tainosystems.com.

3. Personal data collected

3.1 Data you provide directly

• Identification: first name, last name, position, organization
• Contact: business email, phone number, country
• Requests: content of your messages, quote forms, demo requests
• Payment: processed only by Stripe (PCI-DSS Level 1). We never store your card data.

3.2 Data collected automatically

• Technical data: IP address (anonymized), browser type, operating system, pages visited, timestamp
• Cookies: see section 6

3.3 Sensitive data (only in our health platforms)

In the context of operating AyidaHMS, Silabmed, TSMedicis and Silabmed Immunization, we process health information as a processor (under Law 25) or business associate (under HIPAA). These processing activities are governed by specific agreements (Business Associate Agreement / BAA) signed with our hospital, laboratory and insurer clients.

4. Legal bases for processing (GDPR)

For visitors residing in the European Union, we process your data on the following bases:

• Contract performance: for clients having subscribed to our services
• Legitimate interest: to respond to your commercial requests and improve our services
• Consent: for non-essential cookies and marketing communications
• Legal obligation: for invoicing, accounting, tax obligations

5. Processing purposes

Your personal data is used to:

1. Respond to your requests (quotes, demonstrations, support, recruitment)
2. Execute our service contracts and bill our services
3. Improve the quality and security of our platforms
4. Comply with our legal and regulatory obligations (audits, TGV, HIPAA certifications, etc.)
5. Inform you of our news (with your explicit consent)
6. Prevent fraud and ensure the security of our systems

We never sell your personal data to third parties.

6. Cookies and similar technologies

Our site uses the following cookies:

• Essential cookies (always active): language preference (FR/EN/ES), browsing session
• Analytics cookies (Cloudflare Web Analytics, no third-party cookies): anonymized statistics
• Payment cookies (Stripe, during a purchase): necessary for transaction security

You can manage your cookie preferences via your browser. We use no advertising cookies and no marketing profiling cookies.

7. Retention period

• Prospect data (forms): 3 years from last contact
• Client data: contract duration + 10 years (Canadian accounting and tax obligations)
• Health data (processing): per BAA contracts and the responsible client's legal obligations
• Technical data (logs): 12 months maximum
• Payment data: retained by Stripe per its own durations (we do not have custody)

8. Data recipients

Your data may be communicated to:

• Authorized Tainosystems employees, in our 4 offices (Wilmington, Laval, Pétion-Ville, Pointe-Noire), on a need-to-know basis
• Our certified processors (Cloudflare hosting, Stripe payment, Web3Forms email), bound by strict confidentiality agreements
• Competent authorities only upon legal requisition

9. International data transfers

Tainosystems operates in 4 jurisdictions (Canada, United States, Haiti, Republic of Congo). Depending on your location and the service used, your data may be hosted in one of these jurisdictions:

• By default (Quebec clients and Silabmed/AyidaHMS): hosting in Canada
• US clients: hosting in the USA, HIPAA compliance
• Caribbean and African clients: regional hosting based on requested sovereignty

All transfers outside the EU are framed by Standard Contractual Clauses approved by the European Commission. Canada benefits from an adequacy decision from the European Commission.

10. Your rights

You have the following rights over your data:

• Right of access: obtain a copy of the data concerning you
• Right of rectification: correct inaccurate data
• Right to erasure ("right to be forgotten"): request deletion of your data
• Right to restriction of processing
• Right to portability: receive your data in a structured format
• Right to object to processing
• Right to withdraw your consent at any time
• Right to define post-mortem directives (Law 25 and GDPR)

To exercise these rights, write to privacy@tainosystems.com. We respond within 30 days maximum. Identity verification may be requested.

11. Data security

We apply security measures compliant with the highest requirements:

• AES-256 encryption at rest, TLS 1.3 in transit
• Multi-factor authentication for administrative access
• Role-based access control (RBAC)
• Annual independent audits (COCD, Intellisec)
• Government certification TGV (MSSS Quebec) for Silabmed
• HIPAA compliance for AyidaHMS and the US healthcare segment
• Documented and tested incident response plan
• Backups verified daily

In case of a security incident affecting your data, we will notify you within 72 hours in accordance with Law 25 and GDPR requirements.

12. Protection of minors

Our site and services are intended for professional B2B use. We do not knowingly collect data concerning persons under 18 years of age. If you believe such collection has occurred, contact us immediately.

13. HIPAA-specific provision (healthcare)

When Tainosystems acts as a business associate within the meaning of HIPAA (in particular for AyidaHMS in the United States), we apply all requirements of the HIPAA Security Rule and HIPAA Privacy Rule:

• Mandatory signing of a Business Associate Agreement (BAA) with each covered entity
• Notification of any breach within 60 days
• Strict access controls and complete logging (audit logs)
• Encryption, backup and continuity policies compliant with 45 CFR § 164.308-318

14. Policy changes

This policy may be updated to reflect legal or operational changes. The date of the last update appears at the beginning of the document. In case of substantial modification, we will inform you by email (existing clients) or by banner on our site (visitors).

15. Contact and complaints

For any question about this policy or your rights:

• Data Protection Officer: privacy@tainosystems.com
• Postal address: Tainosystems Canada Inc., 1555 Boulevard de l'Avenir, Laval, QC H7S 2N5

If you believe that your rights are not respected, you may file a complaint with:

• Quebec: Commission d'accès à l'information du Québec (CAI) — cai.gouv.qc.ca
• Canada: Office of the Privacy Commissioner of Canada — priv.gc.ca
• European Union: data protection authority of your country of residence
• United States: Office for Civil Rights (HHS) for HIPAA matters

Documento jurídico

Política de privacidad

1. Preámbulo

Tainosystems Canada Inc. («Tainosystems», «nosotros», «nuestro») concede la máxima importancia a la protección de los datos personales. La presente política describe cómo recopilamos, utilizamos, conservamos, protegemos y compartimos sus datos personales cuando visita nuestro sitio tainosystems.com, utiliza nuestras plataformas (AyidaHMS, Silabmed, Sysgestock, DriveCle, Reimbursia, TSMedicis, TainoPersonnel, Sedulr y otras) o interactúa con nuestros equipos.

Esta política cumple con los requisitos de la Ley sobre la protección de datos personales en el sector privado de Quebec (Ley 25, vigente desde septiembre de 2023), del Reglamento General de Protección de Datos (RGPD, UE), de la Health Insurance Portability and Accountability Act (HIPAA, EE.UU., para el segmento salud) y de la California Consumer Privacy Act (CCPA).

2. Responsable del tratamiento

El responsable del tratamiento de los datos personales es:

• Tainosystems Canada Inc.
• 1555 Boulevard de l'Avenir, Laval, QC H7S 2N5, Canadá
• Teléfono: +1-514-380-5826
• Correo: privacy@tainosystems.com

Para el territorio europeo, nuestro representante puede ser contactado en eu-privacy@tainosystems.com.

3. Datos personales recopilados

3.1 Datos que nos proporciona directamente

• Identificación: nombre, apellido, función, organización
• Contacto: correo profesional, número de teléfono, país
• Solicitudes: contenido de sus mensajes, formularios de presupuesto, solicitudes de demostración
• Pago: solo tratado por Stripe (PCI-DSS Nivel 1). Nunca almacenamos sus datos bancarios.

3.2 Datos recopilados automáticamente

• Datos técnicos: dirección IP (anonimizada), tipo de navegador, sistema operativo, páginas visitadas, marca de tiempo
• Cookies: ver sección 6

3.3 Datos sensibles (solo en nuestras plataformas de salud)

En el contexto de la operación de AyidaHMS, Silabmed, TSMedicis y Silabmed Immunisation, tratamos datos de salud como encargado del tratamiento (en virtud de la Ley 25) o business associate (en virtud de HIPAA). Estos tratamientos están regidos por contratos específicos (Business Associate Agreement / BAA) firmados con nuestros clientes hospitalarios, laboratorios y aseguradoras.

4. Bases legales del tratamiento (RGPD)

Para los visitantes residentes en la Unión Europea, tratamos sus datos sobre las siguientes bases:

• Ejecución de un contrato: para los clientes que hayan contratado nuestros servicios
• Interés legítimo: para responder a sus solicitudes comerciales y mejorar nuestros servicios
• Consentimiento: para las cookies no esenciales y las comunicaciones de marketing
• Obligación legal: para la facturación, la contabilidad, las obligaciones fiscales

5. Finalidades del tratamiento

Sus datos personales se utilizan para:

1. Responder a sus solicitudes (presupuestos, demostraciones, soporte, reclutamiento)
2. Ejecutar nuestros contratos de servicios y facturar nuestras prestaciones
3. Mejorar la calidad y seguridad de nuestras plataformas
4. Cumplir con nuestras obligaciones legales y regulatorias (auditorías, certificaciones TGV, HIPAA, etc.)
5. Informarle de nuestras novedades (con su consentimiento explícito)
6. Prevenir el fraude y garantizar la seguridad de nuestros sistemas

Nunca vendemos sus datos personales a terceros.

6. Cookies y tecnologías similares

Nuestro sitio utiliza las siguientes cookies:

• Cookies esenciales (siempre activas): preferencia de idioma (FR/EN/ES), sesión de navegación
• Cookies de análisis (Cloudflare Web Analytics, sin cookies de terceros): estadísticas anonimizadas
• Cookies de pago (Stripe, durante una compra): necesarias para la seguridad de las transacciones

Puede gestionar sus preferencias de cookies a través de su navegador. No usamos ninguna cookie publicitaria ni cookies de perfilado de marketing.

7. Plazo de conservación

• Datos de prospectos (formularios): 3 años desde el último contacto
• Datos de clientes: duración del contrato + 10 años (obligaciones contables y fiscales canadienses)
• Datos de salud (subcontratación): según los contratos BAA y las obligaciones legales del cliente responsable
• Datos técnicos (logs): 12 meses máximo
• Datos de pago: conservados por Stripe según sus propias duraciones (no tenemos custodia)

8. Destinatarios de los datos

Sus datos pueden ser comunicados a:

• Los empleados Tainosystems autorizados, en nuestras 4 oficinas (Wilmington, Laval, Pétion-Ville, Pointe-Noire), sobre la base de la necesidad de conocer
• Nuestros encargados certificados (alojamiento Cloudflare, pago Stripe, correo Web3Forms), vinculados por estrictos contratos de confidencialidad
• Las autoridades competentes únicamente mediante requerimiento legal

9. Transferencias internacionales de datos

Tainosystems opera en 4 jurisdicciones (Canadá, EE.UU., Haití, República del Congo). Según su ubicación y el servicio utilizado, sus datos pueden ser alojados en una de estas jurisdicciones:

• Por defecto (clientes quebequenses y Silabmed/AyidaHMS): alojamiento en Canadá
• Clientes EE.UU.: alojamiento en EE.UU., conformidad HIPAA
• Clientes caribeños y africanos: alojamiento regional según soberanía solicitada

Todas las transferencias fuera de la UE están enmarcadas por Cláusulas Contractuales Tipo aprobadas por la Comisión Europea. Canadá se beneficia de una decisión de adecuación de la Comisión Europea.

10. Sus derechos

Usted dispone de los siguientes derechos sobre sus datos:

• Derecho de acceso: obtener una copia de los datos que le conciernen
• Derecho de rectificación: corregir datos inexactos
• Derecho al olvido: solicitar la supresión de sus datos
• Derecho a la limitación del tratamiento
• Derecho a la portabilidad: recibir sus datos en un formato estructurado
• Derecho de oposición al tratamiento
• Derecho a retirar su consentimiento en cualquier momento
• Derecho a definir directivas post-mortem (Ley 25 y RGPD)

Para ejercer estos derechos, escriba a privacy@tainosystems.com. Respondemos en 30 días máximo. Podrá solicitarse una verificación de identidad.

11. Seguridad de los datos

Aplicamos medidas de seguridad conformes a las exigencias más elevadas:

• Cifrado AES-256 en reposo, TLS 1.3 en tránsito
• Autenticación multifactor para los accesos administrativos
• Control de acceso basado en roles (RBAC)
• Auditorías independientes anuales (COCD, Intellisec)
• Certificación gubernamental TGV (MSSS Quebec) para Silabmed
• Conformidad HIPAA para AyidaHMS y el segmento de salud de EE.UU.
• Plan de respuesta a incidentes documentado y probado
• Copias de seguridad verificadas diariamente

En caso de incidente de seguridad que afecte a sus datos, le notificaremos en un plazo de 72 horas conforme a los requisitos de la Ley 25 y del RGPD.

12. Protección de menores

Nuestro sitio y servicios están destinados a un uso profesional B2B. No recopilamos conscientemente datos relativos a personas menores de 18 años. Si cree que se ha producido tal recopilación, contáctenos inmediatamente.

13. Disposición específica HIPAA (salud)

Cuando Tainosystems actúa como business associate en el sentido de HIPAA (en particular para AyidaHMS en EE.UU.), aplicamos todos los requisitos de la HIPAA Security Rule y la HIPAA Privacy Rule:

• Firma obligatoria de un Business Associate Agreement (BAA) con cada covered entity
• Notificación de cualquier violación (breach) en un máximo de 60 días
• Controles de acceso estrictos y registro completo (audit logs)
• Políticas de cifrado, copia de seguridad y continuidad conformes a 45 CFR § 164.308-318

14. Modificaciones de la política

Esta política puede ser actualizada para reflejar cambios legales u operacionales. La fecha de la última actualización figura al inicio del documento. En caso de modificación sustancial, le informaremos por correo (clientes existentes) o por banner en nuestro sitio (visitantes).

15. Contacto y reclamaciones

Para cualquier pregunta sobre esta política o sobre sus derechos:

• Responsable de protección de datos personales: privacy@tainosystems.com
• Dirección postal: Tainosystems Canada Inc., 1555 Boulevard de l'Avenir, Laval, QC H7S 2N5

Si considera que sus derechos no se respetan, puede presentar una reclamación ante:

• Quebec: Commission d'accès à l'information du Québec (CAI) — cai.gouv.qc.ca
• Canadá: Oficina del Comisionado de Privacidad de Canadá — priv.gc.ca
• Unión Europea: autoridad de protección de datos de su país de residencia
• Estados Unidos: Office for Civil Rights (HHS) para asuntos HIPAA